Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Henkilökohtaisesti jättäisin nuo USB-purkkaviritykset suosiolla väliin. USB + Realtek on lähinnä ongelmien kaivamista pfSensessä (FreeBSD:ssä). Säätämiset säätämisinä, mutta jos laitos on tulossa tuotantoon, kannattaa suosiolla valita toimivaksi todettuja vaihtoehtoja.
Samaa olen lukenut, ettei USB-kortit ole mitenkään järin suositeltuja pfSensen kanssa. Toisaalta kun ilmeisesti USB on ainoa tapa saada kortti suoraan virtuaalikoneelle ja jos se ei toimi, on sille annettava virtuaalinen NIC, jolloin riittää kunhan laite toimii linuxissa. Tuoreimmat suunnitelmat on tehdä hostin ja palomuurin välille muusta verkosta eristetty virtuaalinen NIC ja hostin puolelta reitittää liikenne sen ja tuon USB-kortin välillä.

Sen verran alkaa mennä yli oman kokemusalueen, että alkuun tulee pidettyä VDSL puoli ihan vaan reitittävänä siltaavan sijaan, onpahan edes jonkin sortin palomuuri netin ja palvelimen välissä vaikka asetukset menisikin vinoon.
 
Samaa olen lukenut, ettei USB-kortit ole mitenkään järin suositeltuja pfSensen kanssa. Toisaalta kun ilmeisesti USB on ainoa tapa saada kortti suoraan virtuaalikoneelle ...
Itsellä oli Ubuntu-hostissa yhtenä kesänä pfSense virtuaalikoneessa (VirtualBox) palomuurina, 3kpl Intel nic:iä sillattuna pfSenselle. Tätä kirjoitan virtuaali-Ubuntulla, jolle on sillattu 1 kpl nic sen takia, että en ole kaivanut vielä muuta toimivaa tapaa saada VirtualBox Linux-guestiin IPv6:tta.

Natiiveissa pfSensessä en ole USB-ethernetejä käyttänyt, mutta USB-ethernetiltä näyttävää LTE-modeemia kyllä, samoin Huawein USB-mokkulaa. Pientä säätöä ovat vaatineet, mutta ajaneet kuitenkin asiansa.
 
Itsellä oli Ubuntu-hostissa yhtenä kesänä pfSense virtuaalikoneessa (VirtualBox) palomuurina, 3kpl Intel nic:iä sillattuna pfSenselle. Tätä kirjoitan virtuaali-Ubuntulla, jolle on sillattu 1 kpl nic sen takia, että en ole kaivanut vielä muuta toimivaa tapaa saada VirtualBox Linux-guestiin IPv6:tta.

Natiiveissa pfSensessä en ole USB-ethernetejä käyttänyt, mutta USB-ethernetiltä näyttävää LTE-modeemia kyllä, samoin Huawein USB-mokkulaa. Pientä säätöä ovat vaatineet, mutta ajaneet kuitenkin asiansa.
Ubuntu server + VirtualBox yhdistelmä täälläkin. Oletko miten sillannut NIC:t pfSenselle? Itse en ole saanut "suoraa siltaa" toimimaan, jos virtuaalinen NIC on sillattu fyysisen kortin kanssa, se alkaa toimimaan vasta kun hostikin saa oman IP:n sille kortille. Lähiverkossa ei teetä ongelmaa, toisin kuin sillatun netin kanssa.
 
Itse käytin joskus ipfireä mac minissä virtualisoituna virtualboxilla tai vmwarella, en muista kummalla. Wan korttina oli käytössä applen usb ethernet palikka, tämä oli vaan 100megan kortti, mutta riitti silloisessa ADSL-yhteydessä hyvin. Mitään säätöä se ei vaatinut verrattuna sisäisiin verkkokortteihin ja toimi yhtä hyvin kuin erillisen koneen intel kortitkin.
Toki olen sitä mieltä, että palomuurikoneessa kuuluu olla intelin kortit, oli tilanne mikä tahansa. :)
 
Ubuntu server + VirtualBox yhdistelmä täälläkin. Oletko miten sillannut NIC:t pfSenselle? Itse en ole saanut "suoraa siltaa" toimimaan, jos virtuaalinen NIC on sillattu fyysisen kortin kanssa, se alkaa toimimaan vasta kun hostikin saa oman IP:n sille kortille.
Onko sinulla VirtualBox Managerissa File-Preferences-Extensions pack käytössä? Minulla on ja nic on oikeasti sillattu, ei näy hostilla ollenkaan. Guest additions ei varmaankaan ole tarpeellinen, sillä eihän sitä ole kuin Windows- ja Linux -guesteille, ei pfSense/FreeBSD:lle.

Täytyypä myös kokeilla noita KVM:ää ja QEMUa joskus, vaikka VirtualBoxin sisälmyksissä osia voi jo ollakin. Android Studion AVD QEMUa käyttääkin, ei tosin toimi samaan aikaan VirtualBoxin kanssa.
VT-x is being used by another hypervisor (VERR_VMX_IN_VMX_ROOT_MODE).

VirtualBox can't operate in VMX root mode. Please disable the KVM kernel extension, recompile your kernel and reboot (VERR_VMX_IN_VMX_ROOT_MODE).

AVD:n voi käynnistää ilman accel-optiota, mutta silloin se on hidas:
./emulator -avd machineName -accel off
 
Viimeksi muokattu:
Siltausasetuksia tutkiessa kokeilin vaihtaa virtualisoidun NIC:n paravirtualisoituun ja sillä lähti homma pelaamaan. Purkistakin sain asetukset likimain kohdilleen, joten tässähän on toivoa, että viikonlopuksi olisi palomuuri pystyssä. :eek:
 
Itsellänikin oli juuri nuo paravirtualisoidut nic:t pfSense-virtuaalikoneessa. Kone on edelleen olemassa, muttei käytössä kun on se natiivi
 
Itselläni on realtekin verkkokortti ja hyvin toimii pfsense. En olisi sitä muuten laittanut, mutta kun sattui olemaan valmiiksi kaapissa pölyttymässä.
 
Vihdosta viimein saapui Kettop Mi3855L6 perille, kuukauden päivät sai odotella toimitusta. Tulee korvaamaan pfSensen alustana pari vuotta palvelleen Qotom Q310G4, missä ei ollut AES-NI tukea. Lapsenomaisella innolla siirtämään SSD ja muistit uuteen rautaan kunnes...
download_20190207_211223.jpg
Eli uudessa purkissa oli tietysti DDR4 muistipaikka. No ei muuta ku vanha purkki takasin pakettiin ja muistikampa tilaukseen.

Kaveri olisi kiinnostunut vanhasta purkista, mutta mikä olisi hyvä palomuuri softa? Itse olen täysin myyty pfSenseen, mutta kaverin tarpeet olisi huomattavasti vähäisemmät. Käytännössä tarvitsee helppokäyttöisen palomuurin, missä onnistuu näppärästi porttiohjaukset ja muut perustoiminnot. Aluksi ajattelin kokeilla OPNsenseä, mutta mitä muita vaihtoehtoja kannattaisi kokeilla?
 
Vihdosta viimein saapui Kettop Mi3855L6 perille, kuukauden päivät sai odotella toimitusta. Tulee korvaamaan pfSensen alustana pari vuotta palvelleen Qotom Q310G4, missä ei ollut AES-NI tukea. Lapsenomaisella innolla siirtämään SSD ja muistit uuteen rautaan kunnes...
download_20190207_211223.jpg
Eli uudessa purkissa oli tietysti DDR4 muistipaikka. No ei muuta ku vanha purkki takasin pakettiin ja muistikampa tilaukseen.

Kaveri olisi kiinnostunut vanhasta purkista, mutta mikä olisi hyvä palomuuri softa? Itse olen täysin myyty pfSenseen, mutta kaverin tarpeet olisi huomattavasti vähäisemmät. Käytännössä tarvitsee helppokäyttöisen palomuurin, missä onnistuu näppärästi porttiohjaukset ja muut perustoiminnot. Aluksi ajattelin kokeilla OPNsenseä, mutta mitä muita vaihtoehtoja kannattaisi kokeilla?

Täällä on pari käyttäjää fanittanu Sophos:ta. Joka vois olla kokeilemisen arvoinen.

[edit] linkki --> Sophos Home | Cybersecurity Made Simple

[edit] Toinen linkki erilaisista reititin ja/tai palomuuri käyttiksistä: List of router and firewall distributions - Wikipedia
 
Miksi käytätte ubuntu serverillä virtualboxia? Eikö qemu tai kvm olisi parempi vaihtoehto?
VirtualBoxin vm:ien disk imaget lähti QEMU/KVM:ssa toimimaan heittämällä. Nähtäväksi jää, mitä muita etuja seuraa kuin esim. mahdollisuus ajaa Android-virtuaalikoneita VT-x:llä muiden vm:ien rinnalla, tuo nyt on heti ensimmäinen parannus.
 
Kettop Mi3855L6 käyttöönotto
Paikallisesta ATK-liikkeestä löytyi 4 Gt muistikampa sopuhintaan. Kampa paikalle, SSD vanhasta palomuurista uuteen ja kone tulille. Ensimmäiseksi huomasin, ettei BIOSista pysty valitsemaan mitä laite tekee sähkökatkon jälkeen. Pienen tutkinnan jälkeen selvisi, että emolevyllä on jumpperi millä koneen saa käynnistymään automaattisesti kun sähköä tulee. No jumpperi oli tietysti emolevyn toisella puolen, joten ei muuta kuin laitos palasiksi. Yllätys oli että emolevyltä löytyi paljon mielenkiintoisia liityntöjä, jos tälläista konetta haluaa käyttää johonkin muuhun tarkoitukseen(Lisää USB-liittimiä, GPIO, toinen sarjaportti). Mutta tärkein eli ON_PWR1 jumpperin siirto 1-2 asennosta, 2-3 asentoon ratkaisi automaattisen käynnistyksen ongelman. Laatikko kasaan ja samantien starttasi kun tuikkasin virtajohdon kiinni.

Tässä vaiheessa kone oli kiinni televisiossa ja helposti käpisteltävissä joten ajattelin tarkistaa miten PFsense käynnistyy ja mihin järjestykseen verkkoliitynnät asettuu. Yllätys oli että mitään ongelmaa ei ollut käynnistyksessä ja verkkoliitynnät 1-6 oli PFsensessä samassa järjestyksessä igb0-5. Purkki sammuksiin, asennus laitekaappiin ja piuhat kiinni. Kaikki toimi suoraan ilman ongelmia.

Suurin ongelma mitä vanhan purkin kanssa oli, että 4 verkkoliityntää ei mahdollistanut kahden IP:n hakemista ADSL modeemilta. Käytössä oli LAN, WLAN, 4G ja ADSL portit. PFsensen feature request listalla on ollut kahdeksan vuoden ajan (Feature #1337: VLANs with different MAC address than parent interface - pfSense - pfSense bugtracker) ominaisuus pyyntö, että VLANeja käytettäessä voidaan määrittää eri MAC osoitteet samassa fyysisessä portissa oleviin VLANeihin. No nyt se 2.4.5 on tällähetkellä mihin se pitäisi tulla, mutta koska vielä sitä ei ole ratkaisi kaksi uutta fyysistä verkkoliityntää ongelman. Eli kaksi piuhaa ADSL modeemiin kiinni ja näin sain operaattorilta kaksi julkista IP-osoitetta. Toisen osoitteen kautta tulee julkiset yhteydet WEB-palvelimelle ja toisen kautta kulkee kotiverkon normaali liikenne.

BONUS: Koska kiinalaiset lähetti syystä tai toisesta purkin missä oli WLAN-kortti asennettuna päätin hyödyntää senkin. Lisäsin sen gateway groupiin kolmanneksi yhteydeksi ja se yhdistyy automaattisesti kännykän hotspottiin. Jos ADSL ja 4G on jostain syystä poissa pelistä, voi reititin käyttää puhelimen hotspottia varayhteytenä.

Mitä kaikkea laite tekee:
  • Toimii reitittimenä 4G, ADSL, LAN ja WLAN verkkojen välillä. Load balancing ei ole käytössä vaan 4G on oletusyhteytenä, ADSL varalla. Osa palveluista reititetty aina ADSL:n läpi.
  • Palomuurina
  • DHCP-palvelimena LAN ja WLAN verkkoihin.
  • NTP-palvelimena sisäverkkoihin, käyttäen GPS-vastaanottimen aikaa.
  • hoitaa DDNS IP:n päivitykset
  • Muodostaa IPv6 tunnelin (kuusitunneli.fi)
  • Ilmoittaa verkkoon liittyneiden uusien laitteiden MAC-osoitteet(ARPwatch)
  • Laitekaapin UPS:n valvonta (Apcupsd)
  • Välillä hoitaa VPN yhteyden ulkomaille jos tekee mieli kiertää geoblokkeja.
Mitä pitäisi vielä ottaa käyttöön:
  • IDS/IPS toiminto, Surricata tai Snort?
  • VPN-palvelin mahdollistamaan yhteydet kotiverkkoon

2019-02-08 17.01.35.jpg
 
Viimeksi muokattu:
Täällä on pari käyttäjää fanittanu Sophos:ta. Joka vois olla kokeilemisen arvoinen.

[edit] linkki --> Sophos Home | Cybersecurity Made Simple

[edit] Toinen linkki erilaisista reititin ja/tai palomuuri käyttiksistä: List of router and firewall distributions - Wikipedia


Kiitoksia vinkeistä, Sophos Home näyttää selkeältä ja demon räpellyksen jälkeen vakuutuin sen verran että pistetään kokeiluun.
 
Tuli eteen vehkeitä länsinaapurista:
Best pfsense router hardware with AES-NI (same day shipping from Stockholm)
Halvemmat vehkeet AMD:n prossulla (AES-NI löytyy) ja Intelin verkolla. Otin itselleni kotiin testiin halvimman mallin ( Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ), ja vaikuttaa tähän asti asialliselta vehkeeltä. Toimitus oli alle viikossa. Mitään kytköksiä ei ole tuohon, tuli vain eteen etsiessäni uutta rautaa pfSenselle. Ja suurena plussana pfSense 2.5 -tuki.
Päivitystä tilanteeseen:
Pari viikkoa on vehje ollut tulilla, ja nyt palttiarallaa viikon "production"-konffi sisällä. Tuossa konffissa tuorein pfSense, DHCP, VLANit, VPN site-to-site, OpenVPN, Squid Reverse Proxy, sekä pfBlockerNG.
Hyvin on vehje toiminut, joksikin pfBlockerin kanssa olen huomannut hidastelua (pfBlockerNG-devel) kun käytössä on paljon listoja sekä IP4-listoja. Täytynee varmaan karsia, ja ehkä testata tuota "tuotanto"pakettia. Hidastelun huomaa esim. siinä, kun raapaisee selaimesta "reload all tabs" (~30 tabia), niin upstream-käsky kestää kauemmin kuin ilman pfBlockeria. Onko jollain muuten heittää paria-kolmea yleispätevää listaa, jossa olisi Youtube-mainokset estetty? TV:nä on AndroidTV, niin sen oma Youtube-app näyttää ärsyttävästi mainoksia... EasyList ja EasyList finland addition ei tuo näemmä onnea.
BIOSsin päivitys oli melko iisi-piisi, suurin aika meni USB2-tikun sekä USB<->Serial kaapelin löytämiseen.
Hyvä purkki, olisi pitänyt ottaa kolme- tai neljäporttinen (tässä siis kaksi), niin olisi saanut WIFI-yhteydelle ketterän landing-pagen ja eristettyä sen todella helposti sisäverkosta. Sekä säädettyä VLANien kautta vieläkin tehokkaammin, joksikin hallittava kytkin on pakko-ostos mikäli noiden kanssa haluaa säätää.
Kysymällä lisätietoa, jos kiinnostaa.
 
Päivitystä tilanteeseen:
Pari viikkoa on vehje ollut tulilla, ja nyt palttiarallaa viikon "production"-konffi sisällä. Tuossa konffissa tuorein pfSense, DHCP, VLANit, VPN site-to-site, OpenVPN, Squid Reverse Proxy, sekä pfBlockerNG.
Hyvin on vehje toiminut, joksikin pfBlockerin kanssa olen huomannut hidastelua (pfBlockerNG-devel) kun käytössä on paljon listoja sekä IP4-listoja. Täytynee varmaan karsia, ja ehkä testata tuota "tuotanto"pakettia. Hidastelun huomaa esim. siinä, kun raapaisee selaimesta "reload all tabs" (~30 tabia), niin upstream-käsky kestää kauemmin kuin ilman pfBlockeria. Onko jollain muuten heittää paria-kolmea yleispätevää listaa, jossa olisi Youtube-mainokset estetty? TV:nä on AndroidTV, niin sen oma Youtube-app näyttää ärsyttävästi mainoksia... EasyList ja EasyList finland addition ei tuo näemmä onnea.
BIOSsin päivitys oli melko iisi-piisi, suurin aika meni USB2-tikun sekä USB<->Serial kaapelin löytämiseen.
Hyvä purkki, olisi pitänyt ottaa kolme- tai neljäporttinen (tässä siis kaksi), niin olisi saanut WIFI-yhteydelle ketterän landing-pagen ja eristettyä sen todella helposti sisäverkosta. Sekä säädettyä VLANien kautta vieläkin tehokkaammin, joksikin hallittava kytkin on pakko-ostos mikäli noiden kanssa haluaa säätää.
Kysymällä lisätietoa, jos kiinnostaa.

@Khauron I would be supper happy to publish your tests in our Knowledge Base . Many customers ask about pfBlockerNG, but I have no experience so I can't answer. Article about pfBlockerNG and APU performance would be highly useful. Let me know if you want to do it :-)

Also, you may want to check out the latest article about fine-tuning pfSense config on APU2 to get 1Gbit thoughput APU2 1Gbit throughput on pfSense (configuration instructions)

Best,
Pawel @ TekLager
 
Otin sen käyttöön heti kun se ilmestyi ilmaisversiossa.
 
Olen tässä nyt yrittänyt ketjua lueskella ja asiaa googletella, mutta en ole oikein päässyt konsensukseen mikä olisi helpoin (ja halvin) tapa toteuttaa Dual WAN.

Olisi siis tarkoitus yhdistää 4G ja ADSL yhteys. 4G nopeuden vuoksi ja ADSL jää rinnalle etätöitä varten tasaisemman pingin ja varmempien yhteyksien vuoksi.

Käytännössä siis riittäisi Dual WAN setup jossa kahden työläppärin kaikki liikenne reititetään ADSL-kautta ja kaikki muu liikenne 4G kautta. Lisäksi toki olisi mukavaa jos failsafe toimisi molempiin suuntiin...

Googlailemalla sain selville että mm. Asuswrt tukee Dual WANia. Flashasin Asuswrt Merlinin tuohon Linksysin routeriin ja kaikki toimii muuten hyvin, mutta jotta tuossa firmiksessä saa ip-pohjaisesti pakotettua liikenteen source/destination IP:n mukaan, on pakko ottaa käyttöön Load Balancing Dual WAN jossa max. jakosuhteeksi saa 9:1. En tiedä johtuuko tuosta vai mistä, mutta kun Dual WAN on päällä ajoittain (usein) uusien yhteyksien muodostaminen ei onnistu kerralla. Esim. selaimessa pakko painaa refreshiä muutaman kerran ennenkuin alkaa sivu latautua... Tuo Asuksen firmis ei siis liene ratkaisu tilanteeseeni.

Mutta mikä olisi? Miten helposti/hyvin/toimivasti tämä onnistuu esim. pfSensellä? Mikä tälle olisi halvin mahdollinen rauta? Nurkissa on jo 24/7 yksi sähkösyöppö AMD A8-3870K pohjainen PC, jossa pyörii Ubuntu serverin päällä dockerissa Mqtt,Influxdb,grafana,homeassistant jne... Tuo serveri olisi looginen paikka Dual WAN toteutukselle (vaatii lisää NICejä), mutta ajatus pfSensen ajamisesta KVM:n päällä Ubuntussa hieman kauhistuttaa. Olen jo nyt välillä aika solmussa containerien ip-osoitteiden kanssa enkä löytänyt selkeää ohjetta pfSensen asennukseen ubuntun päälle ilman "virtualmachine manageria"... Selkeämpää olisi toteuttaa tämä omalla raudallaan (esim. Netgate), mutta nuo 200-500e hinnat raudasta ja lisää sähkönsyöppöjä ei ajatuksena houkuta. Olisiko siis joku muukin vaihtoehto...?
 
Olen tässä nyt yrittänyt ketjua lueskella ja asiaa googletella, mutta en ole oikein päässyt konsensukseen mikä olisi helpoin (ja halvin) tapa toteuttaa Dual WAN.

Olisi siis tarkoitus yhdistää 4G ja ADSL yhteys. 4G nopeuden vuoksi ja ADSL jää rinnalle etätöitä varten tasaisemman pingin ja varmempien yhteyksien vuoksi.

Käytännössä siis riittäisi Dual WAN setup jossa kahden työläppärin kaikki liikenne reititetään ADSL-kautta ja kaikki muu liikenne 4G kautta. Lisäksi toki olisi mukavaa jos failsafe toimisi molempiin suuntiin...

Googlailemalla sain selville että mm. Asuswrt tukee Dual WANia. Flashasin Asuswrt Merlinin tuohon Linksysin routeriin ja kaikki toimii muuten hyvin, mutta jotta tuossa firmiksessä saa ip-pohjaisesti pakotettua liikenteen source/destination IP:n mukaan, on pakko ottaa käyttöön Load Balancing Dual WAN jossa max. jakosuhteeksi saa 9:1. En tiedä johtuuko tuosta vai mistä, mutta kun Dual WAN on päällä ajoittain (usein) uusien yhteyksien muodostaminen ei onnistu kerralla. Esim. selaimessa pakko painaa refreshiä muutaman kerran ennenkuin alkaa sivu latautua... Tuo Asuksen firmis ei siis liene ratkaisu tilanteeseeni.

Mutta mikä olisi? Miten helposti/hyvin/toimivasti tämä onnistuu esim. pfSensellä? Mikä tälle olisi halvin mahdollinen rauta? Nurkissa on jo 24/7 yksi sähkösyöppö AMD A8-3870K pohjainen PC, jossa pyörii Ubuntu serverin päällä dockerissa Mqtt,Influxdb,grafana,homeassistant jne... Tuo serveri olisi looginen paikka Dual WAN toteutukselle (vaatii lisää NICejä), mutta ajatus pfSensen ajamisesta KVM:n päällä Ubuntussa hieman kauhistuttaa. Olen jo nyt välillä aika solmussa containerien ip-osoitteiden kanssa enkä löytänyt selkeää ohjetta pfSensen asennukseen ubuntun päälle ilman "virtualmachine manageria"... Selkeämpää olisi toteuttaa tämä omalla raudallaan (esim. Netgate), mutta nuo 200-500e hinnat raudasta ja lisää sähkönsyöppöjä ei ajatuksena houkuta. Olisiko siis joku muukin vaihtoehto...?

Puolueettomana vieläkin: Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ja pfSensellä tai OPNsensellä. Vaihtoehtoina tietysti enemmän portteja ja / tai / sekä enemmän portteja. Nopea toimitus, ei sählingiä tullin kanssa, raudat open-sourcea, toimii.
 
Selkeämpää olisi toteuttaa tämä omalla raudallaan (esim. Netgate), mutta nuo 200-500e hinnat raudasta ja lisää sähkönsyöppöjä ei ajatuksena houkuta. Olisiko siis joku muukin vaihtoehto...?

Ei nyt ihan tämän ketjun genreen varsinaisesti kuulu, mutta jos valmis toteutus ja kohtuullinen hinta painaa enemmän kupissa niin kannattaa myös ubiquitin edgerouterit tsekata. Esim ERL on aika pystyvä laite hyvällä hinnalla.

EdgeRouter - WAN Load-Balancing
 
Ja TekLagerin ison purkin, ja Shuttlen iso purkin... Fitlet2 on kova purkki, mutta toimitusaika on aivan järjetön. Ja jos tarvitsee miettiä, että joskus se purkki hajoaa ja toinen vastaava tilalle... Fitlet2 ei ole vaihtoehto.

Hyvä veto ostaa tuo, ja nyt kuumottaa ostaa tuolta tuo 1100... Kolme porttia, mistä yhden saisi pelkästään WIFIlle...
 
Ja TekLagerin ison purkin, ja Shuttlen iso purkin... Fitlet2 on kova purkki, mutta toimitusaika on aivan järjetön. Ja jos tarvitsee miettiä, että joskus se purkki hajoaa ja toinen vastaava tilalle... Fitlet2 ei ole vaihtoehto.
Hollannista tilattuna näkyy toimitusaika olevan n. 2 viikkoa:
fitlet2

Hinnaksi tulee 370 € + VAT + toimitus, kun mukana on:
- Fitlet2 J3455
- 8 GB RAM
- 64 GB M.2 SATA SSD
- VESA-Bracket
- 2 x Ethernet FACET-card

Jos oikein budjettilinjalla mennään, niin 211 € + VAT + toimitus, kun tilauslista on:
- Fitlet2 J3455
- 4 GB RAM
- 32 GB M.2 SSD tilattuna erikseen Ebaystä hintaan 30 € toimituskuluineen (Transcend MTS 400 32GB)

Ja jos tuo laite hajoaa, niin ainahan sen palomuurin voi asentaa tilapäisesti jollekin muulle laitteelle. Mutta moiseen varautuminen on ehkä hätävarjelun liioittelua huomioiden, että tuo Fitlet2 on 5 vuoden takuulla toimitettava teollisuus-PC.
 
Viimeksi muokattu:
Puolueettomana vieläkin: Best pfsense router hardware with AES-NI (same day shipping from Stockholm) ja pfSensellä tai OPNsensellä. Vaihtoehtoina tietysti enemmän portteja ja / tai / sekä enemmän portteja. Nopea toimitus, ei sählingiä tullin kanssa, raudat open-sourcea, toimii.

Ei nyt ihan tämän ketjun genreen varsinaisesti kuulu, mutta jos valmis toteutus ja kohtuullinen hinta painaa enemmän kupissa niin kannattaa myös ubiquitin edgerouterit tsekata. Esim ERL on aika pystyvä laite hyvällä hinnalla.
EdgeRouter - WAN Load-Balancing

Kiitoksia vastauksista. Tutustuin hieman näihin ja heräsi lisää tyhmiä kysymyksiä :)

Ubiquitin Edgerouterit vaikuttavat helpolta ratkaisulta. En äkkiseltään kyllä löytänyt miten ER:lle konffataan Dual WAN failoverina niin että tietyt IP:t ovat aina reititetty "backupin" puolelle. Ehkä se onnistuu, mutta muuten kyllä tuntuu että tuosta purkista loppuvat ominaisuudet heti kesken jos myöhemmin haluaa laajentaa käyttötarkoitusta. (esim. VPN throughput kai käytännössä jotain max. 10-20M luokkaa...). No mutta laitetaan tämä harkintaan helppona ja halpana vaihtoehtona.

TekLagerin APU2C2 vaikuttaa mielenkiintoiselta, mutta miten se vs. Netgaten SG-1100. Hintaluokka näissä tasan sama (Layer8.se:ltä tosin järjettömät 31.52e postikulut...).
Netgatelle tukea lienee paremmin saatavilla kun on pfSensen "oma" merkki, mutta miten näiden kahden käytännön suorituskyky on verrattavissa?
APUssa ainakin tuplaten RAMia, yhtäaikaisia yhteyksiä saa 100k vs 200k? Onko tällä sitten kotikäytössä mitään merkitystä?
Suorittimet ovat niin eri puusta veistettyjä että ei ole kyllä mitään mutua mikä niiden nopeusero on...?
 
TekLagerin APU2C2 vaikuttaa mielenkiintoiselta, mutta miten se vs. Netgaten SG-1100. Hintaluokka näissä tasan sama (Layer8.se:ltä tosin järjettömät 31.52e postikulut...).
Netgatelle tukea lienee paremmin saatavilla kun on pfSensen "oma" merkki, mutta miten näiden kahden käytännön suorituskyky on verrattavissa?
APUssa ainakin tuplaten RAMia, yhtäaikaisia yhteyksiä saa 100k vs 200k? Onko tällä sitten kotikäytössä mitään merkitystä?
Suorittimet ovat niin eri puusta veistettyjä että ei ole kyllä mitään mutua mikä niiden nopeusero on...?
Noiden embedded ARM-prosessorien vertailu PC-prosessoreihin on hieman hankalaa, kun niistä ei löydy samoilla benchmark-ohjelmilla tehtyjä mittaustuloksia, mutta lienee jotain tällaista:
- Netgate SG 1100: 0.3x
- APU2C2: 1 (baseline)
- Fitlet2 J3455 1.5x
 
Viimeksi muokattu:
Kiitoksia vastauksista. Tutustuin hieman näihin ja heräsi lisää tyhmiä kysymyksiä :)

Ubiquitin Edgerouterit vaikuttavat helpolta ratkaisulta. En äkkiseltään kyllä löytänyt miten ER:lle konffataan Dual WAN failoverina niin että tietyt IP:t ovat aina reititetty "backupin" puolelle. Ehkä se onnistuu, mutta muuten kyllä tuntuu että tuosta purkista loppuvat ominaisuudet heti kesken jos myöhemmin haluaa laajentaa käyttötarkoitusta. (esim. VPN throughput kai käytännössä jotain max. 10-20M luokkaa...). No mutta laitetaan tämä harkintaan helppona ja halpana vaihtoehtona.

Voit luoda erilaisia lb grouppeja esim lan source addressin pohjalta minkä perusteella ne reitittyy ulos eri interfacesta ja failoveraa toiseen.

Juu toki tietyistä asioista joutuu tinkimään. VPN throughput on usein asia mistä joutuu jo maksamaan, tai tekemään omalla raudalla. Ei pikkupurkeissa riitä vääntö kun pyöritellään salausta.

Hintalaatusuhde kuitenkin noissa kohdillaan ja tarvittaessa saa tehtyä melko monimutkaisiakin juttuja vaikka cli:n puolelle joutuukin äkkiä hyppäämään.

Pohjimmiltaan siis kyse siitä mitä haluaa/tarvitsee, minkä verran on valmis laittamaan rahaa ja miten paljon tahtoo säätää itse.
 
enkä löytänyt selkeää ohjetta pfSensen asennukseen ubuntun päälle ilman "virtualmachine manageria"
Tämäkin pitäisi onnistua, ks. esim. Installing pfSense on KVM (CLI/Headless) : sysadmin
Itsellä ei ole vielä kokemusta, mutta lähitulevaisuudessa kyllä. Pitäähän pfSense-boksillakin olla rinnalla toinen (tai kolmas router) ihan vikasietomielessä. Samalla tuo seuraava olisi DMZ Docker-alustana, joten natiivi pfSense ei tule kysymykseen, ja desktop/GUI-kilkkeitä ei kannata ottaa mukaan.
 
Mikä olis paras tehdä backuppi pfSensestä, joka on VM:nä ESXi:n ilmaisversiossa?
  1. pfSensen oma "Backup and Restore" (palauttaako toi myös asennetut paketit?)
  2. Snapshot VM:stä
  3. Kopioida VM:n tiedostot talteen hostista
  4. Vai jokin muu?
 
Mikä olis paras tehdä backuppi pfSensestä, joka on VM:nä ESXi:n ilmaisversiossa?
  1. pfSensen oma "Backup and Restore" (palauttaako toi myös asennetut paketit?)
  2. Snapshot VM:stä
  3. Kopioida VM:n tiedostot talteen hostista
  4. Vai jokin muu?

1. Eli sen XML:n ottaminen. Ja kyllä, paketit voi palauttaa restoressa, tai olla palauttamatta. Ykkösvaihtoehto. Helppo, nopea, luotettava.
2. Snapshot ESXi:ssä ei ole backup!
3. Mahdollisuus, mutta todella työläs palautettava. En edes harkitsisi.
4. Esimerkiksi VEEAM, tai sitten ilmaisista 'GhettoVCB.sh' (lamw/ghettoVCB)
 
Viimeksi muokattu:
1. Eli sen XML:n ottaminen. Ja kyllä, paketit voi palauttaa restoressa, tai olla palauttamatta. Ykkösvaihtoehto. Helppo, nopea, luotettava.
2. Snapshot ESXi:ssä ei ole backup!
3. Mahdollisuus, mutta todella työläs palautettava. En edes harkitsisi.
4. Esimerkiksi VEEAM, tai sitten ilmaisista 'GhettoVCB.sh' (lamw/ghettoVCB)

Taidan pitäytyä tuossa pfSensen omassa Backup and Restoressa. Tuota GhettoVCBtäkin vois tosin koeponnistaa :hmm:.
 
@Khauron Missä tilanteissa noita Snapshottei käytetään? Ite oon mieltäny ne jotenki samanlaiseksi ku Windowssin Palautuspisteet, eli jos tulee räpeltäessä jokin pahempi errori, niin sieltä saa palautettua tilanteen ennen räpellyksen alkua.
 
Olen tässä nyt yrittänyt ketjua lueskella ja asiaa googletella, mutta en ole oikein päässyt konsensukseen mikä olisi helpoin (ja halvin) tapa toteuttaa Dual WAN.

Olisi siis tarkoitus yhdistää 4G ja ADSL yhteys. 4G nopeuden vuoksi ja ADSL jää rinnalle etätöitä varten tasaisemman pingin ja varmempien yhteyksien vuoksi.

Käytännössä siis riittäisi Dual WAN setup jossa kahden työläppärin kaikki liikenne reititetään ADSL-kautta ja kaikki muu liikenne 4G kautta. Lisäksi toki olisi mukavaa jos failsafe toimisi molempiin suuntiin...
Googlailemalla sain selville että mm. Asuswrt tukee Dual WANia. Flashasin Asuswrt Merlinin tuohon Linksysin routeriin ja kaikki toimii muuten hyvin, mutta jotta tuossa firmiksessä saa ip-pohjaisesti pakotettua liikenteen source/destination IP:n mukaan, on pakko ottaa käyttöön Load Balancing Dual WAN jossa max. jakosuhteeksi saa 9:1. En tiedä johtuuko tuosta vai mistä, mutta kun Dual WAN on päällä ajoittain (usein) uusien yhteyksien muodostaminen ei onnistu kerralla. Esim. selaimessa pakko painaa refreshiä muutaman kerran ennenkuin alkaa sivu latautua... Tuo Asuksen firmis ei siis liene ratkaisu tilanteeseeni.

Mutta mikä olisi? Miten helposti/hyvin/toimivasti tämä onnistuu esim. pfSensellä? Mikä tälle olisi halvin mahdollinen rauta? Nurkissa on jo 24/7 yksi sähkösyöppö AMD A8-3870K pohjainen PC, jossa pyörii Ubuntu serverin päällä dockerissa Mqtt,Influxdb,grafana,homeassistant jne... Tuo serveri olisi looginen paikka Dual WAN toteutukselle (vaatii lisää NICejä), mutta ajatus pfSensen ajamisesta KVM:n päällä Ubuntussa hieman kauhistuttaa. Olen jo nyt välillä aika solmussa containerien ip-osoitteiden kanssa enkä löytänyt selkeää ohjetta pfSensen asennukseen ubuntun päälle ilman "virtualmachine manageria"... Selkeämpää olisi toteuttaa tämä omalla raudallaan (esim. Netgate), mutta nuo 200-500e hinnat raudasta ja lisää sähkönsyöppöjä ei ajatuksena houkuta. Olisiko siis joku muukin vaihtoehto...?

Meillä on laneilla PfSense setuppi 2x4G + ADSL yhteydellä. 4G yhteyksien kesken on loadbalancing ja failoverit, ADSL on erillään näistä. 4G yhteyksien kautta menee kaikki ns. bulkki liikenne ja ADSL on varattu peleille. Käytännössä käsityönä on säädetty porttiohjaukset ADSL:n puolelle kaikista peleistä. Bufferbloat on myös vieläkin hieman ongelmana, isommilla käyttäjämäärillä, mutta siihen lienee osasyynä 4G yhteyksien suurestikkin vaihtelevat nopeudet... Eli vaatii jonkin verran säätämistä jotta saa toimimaan.

Rautana tälle on i5-2400, 16gb ram, neljällä verkkokortilla. PfSenseä ajetaan Win10:n Hyper-V:ssä. Samalla palvelimella pyöritetään myös joitain peliservereitä.
 
@Khauron Missä tilanteissa noita Snapshottei käytetään? Ite oon mieltäny ne jotenki samanlaiseksi ku Windowssin Palautuspisteet, eli jos tulee räpeltäessä jokin pahempi errori, niin sieltä saa palautettua tilanteen ennen räpellyksen alkua.
No juuri tuollaisessa tilanteessa. Sulla on vaikka palvelin, joka on tilanteessa A1. Nyt julkaistaan patch, jonka ajat ja se vetää palvelimen aivan solmuun. Snapshotista tilanne takaisin ja kaikki hyvin.
Mutta tilanne, jossa sulla on esim. 3 kuukautta vanha shapshot, ja olet pelannut snapshottien kanssa sekä hyppinyt niissä edes-takaisin, niin et pysty palauttamaan tuota 3 kuukautta vanhaa snapshottia. Snapshotit ovat parent-child -tyyppisiä, jossa kumpaankin tiedostoon (alkuperäiseen levyyn sekä snapshot -levyyn) kirjoitetaan. Ne siis eivät ole backup, vaan tietyn ajan tilanne, johon pystyt hyppäämään.
 
Bufferbloat on myös vieläkin hieman ongelmana, isommilla käyttäjämäärillä, mutta siihen lienee osasyynä 4G yhteyksien suurestikkin vaihtelevat nopeudet...

Ei sille bufferbloatille itse voi oikein mitään mobiili yhteyksien kanssa. fq_codel tai vastaava siihen tarvittaisiin ja tämä sitten vaatii sen yläkaton nopeudelle eikä sen saisi vaihdella (alaspäin). Kiinteällä yhteydellä tuo ei ole ongelma kun maksimit eivät vaihtele samallalailla kuin mobiilissa eli mobiilissa pitää mennä surkeimman testinopeuden mukaan mutta jos se nopeus tippuukin tuosta vielä alemmas niin sitten algoritmi ei enää toimi oikein.

Yksi vaihtoehto tuohon on koodata joku skripti ajamaan nopeustestiä tasaisin väliajoin joka sitten päivittäisi sitä fq_codel limiter setuppia. Ongelmana tuossa toki on se että jos on jotain muuta raskaampaa liikennettä samaan aikaan niin tulokset voi heitellä miten sattuu..
 
Ei sille bufferbloatille itse voi oikein mitään mobiili yhteyksien kanssa. fq_codel tai vastaava siihen tarvittaisiin ja tämä sitten vaatii sen yläkaton nopeudelle eikä sen saisi vaihdella (alaspäin). Kiinteällä yhteydellä tuo ei ole ongelma kun maksimit eivät vaihtele samallalailla kuin mobiilissa eli mobiilissa pitää mennä surkeimman testinopeuden mukaan mutta jos se nopeus tippuukin tuosta vielä alemmas niin sitten algoritmi ei enää toimi oikein.

Yksi vaihtoehto tuohon on koodata joku skripti ajamaan nopeustestiä tasaisin väliajoin joka sitten päivittäisi sitä fq_codel limiter setuppia. Ongelmana tuossa toki on se että jos on jotain muuta raskaampaa liikennettä samaan aikaan niin tulokset voi heitellä miten sattuu..

Joo tuo on se hankala homma. Taitaa konffissa olla vieläkin liian korkea maksiminopeus suhteessa, etenkin vuorokauden ajoista riippuvaan nopeuden heittelyyn.

Vähän tuota on saanut sillä suitsittua kun on laittanut käyttäjä/ip kohtaisen kaistarajoituksen, yhdessä kokonaiskaistarajoituksen kanssa, mutta vaatii vieläkin hienosäätöjä.

Tässäkin ketjussa oli linkki fq_codel säätöihin ja niiden perusteella hieman säätelinkin, mutta ihan täyttä ymmärrystä ei itselläni vielä ole mihin mikäkin säätö vaikuttaa. DSLReportsin bufferbloat testissä kuitekin jo A ja B arvosanoja noilla säädöillä sain.
 
Conffailen tässä virtuaalikoneessa pfsenseä ja tuli sellainen kysymys, että mulla on sääntö sallia portista x yhteydeyt sisäverkon porttiin x, niin miten rajoitan sallituiksi yhteyksiksi pelkästään suomalaiset ip:t?
Ipfiressä tämä käy helposti laittamalla source:ksi geoip Finland, mutta ainakaan ihan vastaavaa ei suoraan pfsensestä löytynyt...
 
Conffailen tässä virtuaalikoneessa pfsenseä ja tuli sellainen kysymys, että mulla on sääntö sallia portista x yhteydeyt sisäverkon porttiin x, niin miten rajoitan sallituiksi yhteyksiksi pelkästään suomalaiset ip:t?
Ipfiressä tämä käy helposti laittamalla source:ksi geoip Finland, mutta ainakaan ihan vastaavaa ei suoraan pfsensestä löytynyt...

En oo satavarma, mut taitaa vaatia pfBlockerNG-paketin asennettavaksi. Siellä on GeoLocation-säädöt.
 
Juurikin pfblockerng:llä hoituu ja toimii. Tässä yks tutoriaali (kannattaa Lawrence Systemsin muutkin pfsense- videot tsekata):
 
Kiitoksia. Noita Lawrencen videoita tulee säännöllisesti katottua, mutta en välttämättä ole tuota pätkää juuri kattonut... :)
Katsotaan josko saataisiin pfsense ipfiren tilalle testiajoon...
 
Tarkoitus tilata Jenkkeihin. Noita lisäosia vähän katselin, mutta kun tuo Israel selvisi niin joutunee jäämään ilman, huonosti on tarviketta Amazonissa ainakin nyt. Ovat kyllä lupailleet parempaa valikoimaa sinnekkin. mm. Celeron mallia.
Bracketia ja extra portteja nimenomaan katselin, kun hinta olisi sellainen että kannattaisi ostaa vaikka ei tarvetta välttämättä olisi, mutta kumpaakaan ei löydy tietenkään Amazonin toimittamina. 3rd partyltä löytyy 2x LAN FACET, $55 posteineen kylläkin.
Kiinnike on onneksi yksinkertainen tehdä itse.

Amazon tarjoaa suoraan näitä bundleksi:

Transcend 64GB SATA III 6Gb/s MTS400 42 mm M.2 SSD Solid State Drive (TS64GMTS400S) $31.99
https://www.amazon.com/Transcend-MT...FE6V6TRM3Z5&psc=1&refRID=R85DG3DC9FE6V6TRM3Z5

Crucial 8GB Single DDR3 1866 MT/s (PC3-14900) 204-Pin SODIMM RAM Upgrade for iMac (Retina 5K, 27… $55.99
(Tämä varmaan sopiva määrä? vai tulisiko 4GB riittämään? Sophos/pfsense)
https://www.amazon.com/Crucial-PC3-...FE6V6TRM3Z5&psc=1&refRID=R85DG3DC9FE6V6TRM3Z5

Ensimmäinen etappi suoritettu.
Amazoniin ei tullu re-stockia, niin ostin sitten käytetyn Fitlet2:n (Myyjän ilmoitus), joka paljastui MBM 2 Pro:ksi kun sen sain ja SSD smarttien mukaan sitä oli käytetty 2h.. En tiedä onko täysin uudessa SSD levyssä tuollaisia käyttötunteja, että olisko ns. käyttämätön. En nyt vielä ole juurikaan perehtynyt, mutta tuo MBM2 Pro vaikuttaa olevan Fitlet2 + WiFi + 8GB + 120GB ja hinta oli 170€ eli ihan jees kauppa.

Myyjän mukaan sen ei pitänyt sisältää mitään muisteja ja myynti ilmoituksessakin se oli ihan vaan Fitlet2 J3455, joten jos jotain kiinnostaa, niin tuossa ylempänä olevat 8GB DDR3:t ja 64GB SSD:n saa ostaa minulta Amazonin päivän hintaan. Ovat avaamattomissa paketeissa. En usko, että minulla on mitään käyttöä myöskään WiFi:lle, joka tuli mukana niin siitäkin varmaan luovun (Jos se on irroitettava). Ostin myös 2x LAN FACET:n, joka oli $37 sitten kuitenkin Amazonissa ja en vielä edes tiedä sopiiko tuo boksiin kun wifi on kytkettynä. Ihmettely siis täysin alkutekijöissään. Pitänee nyt alkuun kokeilla tuota Sophosta, kun löytää vain hieman aikaa.
 
Ensimmäinen etappi suoritettu.
Amazoniin ei tullu re-stockia, niin ostin sitten käytetyn Fitlet2:n (Myyjän ilmoitus), joka paljastui MBM 2 Pro:ksi kun sen sain ja SSD smarttien mukaan sitä oli käytetty 2h.. En tiedä onko täysin uudessa SSD levyssä tuollaisia käyttötunteja, että olisko ns. käyttämätön. En nyt vielä ole juurikaan perehtynyt, mutta tuo MBM2 Pro vaikuttaa olevan Fitlet2 + WiFi + 8GB + 120GB ja hinta oli 170€ eli ihan jees kauppa.

Myyjän mukaan sen ei pitänyt sisältää mitään muisteja ja myynti ilmoituksessakin se oli ihan vaan Fitlet2 J3455, joten jos jotain kiinnostaa, niin tuossa ylempänä olevat 8GB DDR3:t ja 64GB SSD:n saa ostaa minulta Amazonin päivän hintaan. Ovat avaamattomissa paketeissa. En usko, että minulla on mitään käyttöä myöskään WiFi:lle, joka tuli mukana niin siitäkin varmaan luovun (Jos se on irroitettava). Ostin myös 2x LAN FACET:n, joka oli $37 sitten kuitenkin Amazonissa ja en vielä edes tiedä sopiiko tuo boksiin kun wifi on kytkettynä. Ihmettely siis täysin alkutekijöissään. Pitänee nyt alkuun kokeilla tuota Sophosta, kun löytää vain hieman aikaa.

No huh, teit kyllä hyvät kaupat!! :kippis::)

Onko laittaa linkkiä tuohon FACET korttiin jonka sait tilattua noin halvalla?
 
Käytän devel-versiota ja lisäsin listan "ADs" listojen rinnalle. Jatketaan tästä aiheesta kuitenkin tuolla toisessa ketjussa "tee-se-itse rautapalomuurit..."-ketjussa.
@escalibur
En tiedä mikä oli; taisi olla koko PFBlockerNG sekaisin, kun noin tein ja ei vaikutusta, mutta vetäisin koko paketin pois (tietysti ruksi pois "keep settings":stä), asensin uudestaan, ajoin wizardin, lisäsin tuon Suomi-listan EasyListin alle, ja kah, toimimaan lähti.

Sitten kun vielä löydän ratkaisun siihen, miten esim. tabletin ja AndroidTV:n Youtubesta saa mainokset pois (kuten selaimessa lähtee uBlockilla), niin olen happy camper. Nyt minulla on neljä eri listaa Youtubelle, ja auttaa, mutta ei täysin. Mitä listoja porukalla on Youtubelle käytössä, tai onko jotain kikka-vitosta, miten AndroidTV:n Youtubesta saa mainokset pois? Mainoksilla tarkoitan siis ennen itse streamia soimaan lähteviä esim. Gigantti, sekä kesken streamissa olevia (näkyy play-janalla keltaisella)?
 

Uusimmat viestit

Statistiikka

Viestiketjuista
262 450
Viestejä
4 551 583
Jäsenet
74 986
Uusin jäsen
jujo15

Hinta.fi

Back
Ylös Bottom